2016 trend micro ctf misc100 writeup

pcap파일을 열어서 보면  ISAKMP패킷들이 많이 보이고 telnet으로 통신한 내용이 보인다.

telnet으로 통신한 내용을 보면 아래 그림과 같은 내용이 들어있다.

ip xfrm state가 무슨 명령어 인지 몰라서 구글링을 해보니 ipsec tunnel과 관련있는 것을 알 수 있었다.

구글에 wireshark isakmp xfrm 라고 검색을 해서 제일 위에 있는 링크에 들어가니 

위의 hash값을 이용해서 wireshark에서 decrypt하는 방법을 친절하게 설명해 놓았다.

https://ask.wireshark.org/questions/12019/how-can-i-decrypt-ikev1-andor-esp-packets

이런식으로 설명해 놓은 그대로 설정을 하고 apply하면 패킷들이 decrypt된다.

http object를 보면 그림파일이 나오고 추출해서 보면 flag가 있다.